热门Npm套件UAParser.js遭植入恶意程式

热门Npm套件UAParser.js的作者Faisal Salman在上周五（10/22）指出，有骇客挟持了他的Npm账号，出版了植入恶意程式的3个UAParser.js版本，包括GitHub与美国网络安全及基础设施安全局（CISA）都对此提出了警告。

Npm为Node.js套件的管理工具，在去年3月被纳入GitHub麾下。而Salman所打造的UAParser.js主要是用来侦测使用者的浏览器、引擎、操作系统、CPU与装置类型，最近一周的下载量超过750万次。

Salman表示，他相信有人挟持了他的账号，并于0.7.29、0.8.0及1.0.0等3个UAParser.js版本中植入了恶意程式。

GitHub很快就发表了声明，呼吁安装上述版本的使用者应尽快升级版本，同时检查系统上的可疑活动。GitHub说，任何安装这些版本的使用者都应该假设系统已被危害，立即轮换电脑上的凭证，此外，移除了恶意的UAParser.js版本并不代表也移除了恶意程式，也不确定系统是否已遭骇客掌控。

《BleepingComputer》引用资安业者Sonatype的分析指出，骇客在UAParser.js中所植入的恶意程式同时支援Linux与Windows系统，而且会侦测使用者的位置，只攻击俄罗斯、白俄罗斯、乌克兰及哈萨克以外的国家，除了安装门罗币挖矿程式XMRig之外，也会窃取各种凭证，包括FTP、电子邮件、传讯程式、浏览器，以及存放于Windows凭证管理员中的凭证。

已安装0.7.29、0.8.0与1.0.0的UAParser.js用户，可各自升级到0.7.30、0.8.1与1.0.1，同时也应检查整个系统的安全性，以及轮换凭证。